EU AI Act: le norme più importanti e il loro significato per le aziende

EU AI Act: di cosa si tratta?

Lo sviluppo della cosiddetta Artificial Intelligence (AI), cioè dell'intelligenza artificiale, ha compiuto un grande passo avanti alla fine del 2022 con ChatGPT (Chatbot Generative Pre-trained Transformer). La versione 4 è in circolazione da marzo 2023. Il primo modello è stato rilasciato a giugno 2018. Nel marzo dello stesso anno, la Commissione dell'Unione Europea (UE) ha istituito un gruppo di esperti che, tra le altre cose, aveva il compito di sviluppare una proposta di linee guida sull'etica dell'IA.

Nel frattempo, da questo approccio è emersa la proposta per una legge europea sull'Intelligenza Artificiale. Il suo nome: EU AI Act. Nel giugno 2023, il Parlamento europeo ha adottato la sua posizione negoziale in merito. Nel frattempo, sono in corso colloqui con i Paesi dell'UE in seno al Consiglio sulla versione definitiva della legge.

La prima iniziativa di questo tipo a livello mondiale ha due obiettivi principali. Da un lato, si propone di promuovere lo sviluppo dell'IA e rafforzare il potenziale competitivo globale dell'UE in questo settore. Dall’altra parte, dovrebbe garantire che la tecnologia sia incentrata sull'uomo e che sia affidabile. Per fare ciò, l'intelligenza artificiale sviluppata e utilizzata nell'UE deve rispettare i diritti e i valori della Confederazione degli Stati. L'EU AI Act mira a creare il quadro giuridico a tal fine.

Importante: la legge proposta è un regolamento. Questo significa che la proposta di legge dell'UE è direttamente applicabile negli Stati membri dell'UE e non deve essere recepita nella legislazione nazionale. Una volta entrato in vigore, il regolamento diventa parte del diritto nazionale e può essere applicato dinanzi ai rispettivi Paesi.

Panoramica: i punti principali della legge

Il nucleo è una classificazione dei sistemi di intelligenza artificiale in base ai loro rischi, in particolare per la salute, la sicurezza e i diritti fondamentali delle persone. Secondo l’EU AI Act, sono previste quattro classificazioni:

• inaccettabile
• alto
• limitato
• minimo

I sistemi di intelligenza artificiale con rischi inaccettabili sono vietati se rappresentano una minaccia per le persone e ne manipolano il comportamento. Questo vale, ad esempio, per i giocattoli ad attivazione vocale, che promuovono comportamenti pericolosi nei bambini. Anche il social scoring è inaccettabile, così come i sistemi di identificazione biometrica in tempo reale e da remoto (riconoscimento facciale). In linea di principio, questa classificazione copre tutti i programmi che violano il diritto alla dignità, alla non discriminazione, all'uguaglianza e alla giustizia.

I sistemi di intelligenza artificiale ad alto rischio hanno un impatto negativo sulla sicurezza o sui diritti fondamentali. Da un lato, ciò potrebbe riguardare i software per l'aviazione, le automobili, i dispositivi medici e gli ascensori, a condizione che rientrino nell'ambito di applicazione della legge UE sulla sicurezza dei prodotti (in inglese). Inoltre, ciò si applica a sistemi provenienti da otto aree specifiche che devono essere registrati in un database dell'UE:
 

• Identificazione biometrica e categorizzazione delle persone fisiche
• Gestione e funzionamento di infrastrutture critiche
• Istruzione e formazione professionale
• Occupazione, gestione dei dipendenti e accesso al lavoro autonomo
• Accesso e utilizzo di servizi e vantaggi privati e pubblici essenziali
• Applicazione della legge
• Gestione della migrazione, dell'asilo e del controllo delle frontiere
• Assistenza nell'interpretazione e nell'applicazione giuridica della legge

Tutti i sistemi di intelligenza artificiale ad alto rischio vengono valutati prima di essere lanciati sul mercato e durante tutto il loro ciclo di vita.

I sistemi di intelligenza artificiale a rischio limitato devono essere progettati in modo così trasparente che le persone che li utilizzano possano riconoscere l'IA dietro di essi. Ad esempio, sistemi come ChatGPT dovrebbero rivelare che i loro contenuti sono stati generati da IA e contemporaneamente fornire misure di protezione contro la generazione di contenuti illegali.

I sistemi di IA con rischio basso o minimo devono essere conformi alla legislazione esistente. Tra gli esempi vi sono i filtri antispam e i videogiochi.

Il coinvolgimento in pratiche di intelligenza artificiale proibite può comportare una multa fino a 40 milioni di euro o un importo fino al 7% del fatturato globale annuo di un'azienda, a seconda di quale sia il valore più elevato.

Questo supera di gran lunga la più importante legge europea sulla protezione dei dati fino ad oggi, il Regolamento generale sulla protezione dei dati (GDPR). Si prevedono multe fino a 20 milioni di euro o fino al 4% del fatturato globale di un'azienda. Tuttavia, l’importo può aumentare nel caso in cui ci fossero diverse violazioni. La società madre di Facebook, Meta, ne è stata particolarmente colpita. Ha dovuto pagare un totale di 2,5 miliardi di euro entro maggio 2023 a causa di diverse violazioni delle norme del GDPR.
 

A chi si applica la legge dell'UE in materia di intelligenza artificiale?

La legge si applica in gran parte ai fornitori e agli operatori di sistemi di intelligenza artificiale. Inoltre, l'attuale bozza del Parlamento prevede che siano inclusi gli importatori e i rivenditori di sistemi di intelligenza artificiale, nonché i rappresentanti dei fornitori di sistemi di IA con sede nell'UE.

I fornitori sono attori che sviluppano sistemi di intelligenza artificiale per portarli sul mercato o renderli operativi nell'UE (ad esempio OpenAI). Ciò vale indipendentemente dal fatto che abbiano sede all'interno dell'UE. Inoltre, il disegno di legge mira a consentire ai fornitori che gestiscono sistemi di intelligenza artificiale al di fuori dell'UE di essere registrati se lo sviluppatore o il distributore del sistema di intelligenza artificiale ha sede nell'UE.

Gli operatori dei sistemi di IA, invece, sono persone fisiche o giuridiche che utilizzano l'IA nell'ambito delle proprie attività professionali. Possono utilizzare le API (interfacce di programmazione delle applicazioni) per incorporare prodotti AI nei propri prodotti o semplicemente utilizzare i sistemi di intelligenza artificiale come strumenti interni. Gli offerenti e gli operatori di sistemi di intelligenza artificiale con sede al di fuori dell'UE possono essere inclusi, se i risultati prodotti devono essere utilizzati nell'UE.

Le persone che utilizzano sistemi di intelligenza artificiale nell'ambito di attività private e non professionali non sono interessate dalla legge.

Ciò vale anche per alcune categorie di sistemi di intelligenza artificiale, tra cui, ad esempio, per scopi di ricerca, test e sviluppo o per software sviluppato o utilizzato esclusivamente per scopi militari.

Cosa implica la legge per le aziende?

Chiunque sviluppi, impieghi o utilizzi professionalmente l'IA nell'UE o per un pubblico dell'UE sarà influenzato dalla legge in una certa misura. A causa della definizione di AI con alto rischio fornita dal legge, la maggior parte delle applicazioni commerciali probabilmente non rientrerà in questa categoria. Ad esempio, lo sviluppo di sistemi di intelligenza artificiale per l'editing musicale o per i videogiochi deve essere differenziato dai sistemi destinati a influenzare le persone tramite i social media o gli elettori nelle campagne politiche.

Tuttavia, la crescente popolarità dei sistemi di intelligenza artificiale generativa implica che più sviluppatori potrebbero rientrare nell'ambito di applicazione della legge. Se le attuali modifiche verranno approvate, questi sviluppatori (ma non gli operatori) dovranno probabilmente soddisfare determinati requisiti, anche se non rientrano nella categoria ad alto rischio.